密码管理的一些经验

自由软件与信息安全

#1

今闻左圈对论坛实施的破坏(详见: 【通知】有人试图以后缀为tk的假冒网站盗取本站用户信息,请各位警惕 ),现在打算基于最近学习f-droid的经验传授一些密码管理的小技巧……因为对经常上网的人来说,密码管理确实是比较重要的。

写这个帖子得到了论坛很多前辈的支持和帮助,在此感谢。特别是 @drone@pyre 同志,在此致谢。




密码又称口令,是用于核对登录身份的工具。为了进行科学的密码管理,建议各位实践以下的事项:

  • 第一,更改重要账户的密码为强密,所谓强密,是由至少10个不同的字母(大小写)、数字、特殊符号随机组合而成的密码。这种密码不同于普通时候使用的弱密码(词句组合、纯字母或者纯文字),较难破解。建议设置为15-20位,有条件请达到30位。可以有效保证安全性。

  • 第二,养成定期给账户更改密码的习惯,可以有效预防盗号。同时在密码设置中不要包含自己任何熟悉或喜好的信息,为最佳。

  • 第三,千万不要对全部账户使用同一套密码。尽量每一个账户都设置一套密码。特别是要把用于XMPP、论坛、密保邮箱等机要场景的密码,与自己平时用于QQ危信贴吧的密码区别开来!否则,只要麻花疼愿意,那么直接把你在qq的密码搬来登录论坛,是分分钟的事情!然而,如果你的xmpp密码不同于邮箱密码,又不同于论坛密码,安全性会高很多。

  • 第四,选择安全的密保邮箱。很多场景中系统都提供了密码找回工具,如邮箱验证。如果你让攻击者对登录邮箱有可乘之机,那么前面的设置基本等于白做了。所以务必选择安全的邮箱,并细心设置它们的密码。尽量使用protonmail等国外较为安全的邮箱绑定重要账户。

如何创造强密:

  • 可以用一些专门的程序“摇”出足够强的密码,如 GNU/Linux 上普遍可以部署的自动密码生成器(Automated Password Generator,apg):这是一个在命令行下工作的程序,默认不带任何参数运行即可在每次运行后摇出六个可以拼读的密码;可以用参数改变其行为,具体用法请查阅其手册(如https://linux.die.net/man/1/apg)。
  • Android设备上,可先下载安装自由应用商店 F-droid( https://f-droid.org/ ),然后安装 LessPass这类密码生成工具进行强密创造。
  • 自己创造。闭着眼睛换着英文大小写、特殊字符和数字打几串出来,也可以用作强密。

自然,由此也派生了一些问题,即如何安全地保存这一系列强密的问题。

这个问题,目前本人的实践方式是

  • 抄录在小纸条上,并随身携带。这是原始、但却是可以彻底杜绝网络攻击、系统入侵等风险的方式。对于某些重要密码,这样做是必要的。

  • 创造3-4个15-20位的强密,早期抄写在纸条上,然后接下来的时间内在不同场景中反复输入它们,最后你就能熟练地把它记住,成为只属于你的脑袋里的秘密,除非你自己泄密,否则没人能把它偷走了。

当然,也有依赖于存储在机器上以便能够复制粘贴的更为方便的方法,不过这些方法需要在PC和android设备上一些加密软件的配合,现在先不介绍。

接下来打算把自己和几位同志搜罗Fdroid的经验,写成专贴介绍给大家。等介绍完再回来补充机器上管理密码的一些经验。 :yum:

请大家关注本帖更新!


建议同志们开启帐号登录双重验证,可有效增强帐号安全性
#2

使用lesspass这个自由软件可以生成密码,只要参数一致,输出的密码也是一致的。